Zapisy i planowane zmiany Ustawy o Krajowym Systemie Cyberbezpieczeństwa mogą oznaczać dla nas tylko kłopoty – ocenia generał Włodzimierz Nowak, ekspert ds. telekomunikacji i bezpieczeństwa, były członek zarządu T-Mobile i były pełnomocnik rządu ds. cyberbezpieczeństwa.

W Rządowym Centrum Legislacyjnym pojawiła się nowa wersja projektu nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Zakłada ona, że do postępowania w sprawie dostawców wysokiego ryzyka, czyli sprzętu lub oprogramowania potencjalnie zagrażającego cyberbezpieczeństwu państwa, jako strona może dołączyć przedsiębiorca telekomunikacyjny. To dobra decyzja?

Sam proces certyfikacji, który opisany jest w projekcie ustawy, jest jak najbardziej słuszny. Urządzenia do systemów telekomunikacyjnych należy certyfikować. Natomiast pozostaje pytanie, czy kolegium, w którym zasiada połowa rządu, będzie efektywne? Nie wydaje się, aby był sens powoływania takiego kolegium w ogóle. Jak pokazuje obecna sytuacja, decyzję o zaprzestaniu kontaktów handlowych czy technologicznych z krajami zapadają na poziomie rządu i nie jest do tego potrzebne żadne kolegium. Jednak jeżeli już jest powoływane, to z pewnością powinni się tam znaleźć przedstawiciele operatorów telekomunikacyjnych.

Jednak będzie to dane wyłącznie dużym operatorom. Zostają w tym momencie wykluczone z postępowania małe i średnie firmy telekomunikacyjne, a zdaniem części rynku to właśnie one poniosą realnie największe straty wynikające z konieczności wymiany urządzeń i oprogramowania.

Czy takie zapisy nie powinny zostać zmienione?

Uważam, że rzeczywiście ten warunek ograniczający, że tylko duże przedsiębiorstwa telekomunikacyjne mogą w tym uczestniczyć, jest trochę nietrafiony. To dlatego, że właśnie te mniejsze firmy poszukują tanich rozwiązań. Dlatego to one są najbardziej narażone na wykorzystanie sprzętu, który może nie spełniać odpowiednich wymogów bezpieczeństwa. W związku z tym, logicznym wydaje się dopuszczenie tych przedsiębiorstw, aby i one miały wpływ na to, w jaki sposób i gdzie mogą być takie urządzenia wykorzystywane lub kiedy należy je wycofać z eksploatacji.

Z drugiej strony same rozwiązania technologiczne, nawet jeśli nie do końca mają wszystkie mechanizmy bezpieczeństwa, też mogą być wykorzystywane w wielu miejscach bez szkody dla bezpieczeństwa państwa i porządku publicznego. To nie jest sprawa zero-jedynkowa. Mamy choćby przykład Rumunii, gdzie poprzez taką bardzo restrykcyjną ustawę wyeliminowano Nokię z przetargu na system 5G. Z pewnością nie o to chodziło ustawodawcom. Chcieli się uniezależnić technologicznie od krajów spoza Unii i NATO, a weszli w spór z koncernem Nokia.

Pana zdaniem ta ustawa nie zwiększy bezpieczeństwa Polski?

Przede wszystkim ustawa jest procedowana od dwóch lat bez większego efektu. Oceniam ją dwojako. O ile pierwszy dział i część drugiego został dobrze przygotowany przez rząd, o tyle dział trzeci jest kompletnym nieporozumieniem. To swoista „doklejka”, która w ogóle nie pasuje do tej ustawy.

Dział I to postanowienia ogólne, natomiast dział nr II odnosi się do systemu cyberbezpieczeństwa i jego certyfikacji. Rozumiem, że mam Pan uwagi do przede wszystkim do kwestii zapisów ws. działania strategicznej sieci bezpieczeństwa?

Dokładnie. Ten dział nie ma nic wspólnego z cyberbezpieczeństwem, a niektóre jego zapisy mogą oznaczać dla nas poważne kłopoty. Pod hasłem cyberbezpieczeństwa i bezpieczeństwa kraju chce się wprowadzić rozwiązania, które de facto będą bardzo niebezpieczne dla funkcjonowania całego państwa.

Skąd wynika ta surowa ocena?

Przede wszystkim spójrzmy na planowane powołanie „Operatora Strategicznej Sieci Bezpieczeństwa”. Już od dawna oficjalnie się mówi, że tym operatorem ma być Exatel, czyli bardzo mała firma jeśli chodzi o rynek telekomunikacyjny w Polsce. Ocenia się, że posiada mniej niż 5 proc. potencjału telekomunikacyjnego w naszym kraju.

Włączenie do obsługi przez takiego operatora wszystkich istotnych instytucji państwowych, takich jak wojsko, policja, rząd, sądownictwo, infrastruktura krytyczna, ośrodki władzy samorządowej spowoduje, że będzie to główny cel ataków hakerskich i działań dywersyjno-terrorystycznych. W zapisach ustawy nie ma żadnych wymagań odnośnie dywersyfikacji połączeń dla tych podmiotów.
Krótko mówiąc atak na takiego operatora może sparaliżować funkcjonowanie całego państwa.

Jakie zapisy ustawy mogę jeszcze bezpośrednio wpływać na bezpieczeństwo Polski?

Niewątpliwie zapisy dotyczące powołania spółki „Polskie 5G”. Zaproponowane rozwiązanie „Polskie 5G”, które pod hasłem optymalizacji infrastruktury telekomunikacyjnej spowoduje, że w zasadzie na jednej infrastrukturze będą działali wszyscy operatorzy, łącznie z Exatelem. Tak zbudowana infrastruktura będzie najbardziej krytycznym elementem całego systemu, ponieważ jakiekolwiek straty w niej spowodują, że żaden z operatorów nie będzie mógł świadczyć w tym obszarze usług. Co dla służb ratowniczych i służb bezpieczeństwa, które z założenia wymagają wysokiej niezawodności i dostępności usług, jest po prostu fatalne.

A co częstotliwościami?

To jest kolejny problem. Wykorzystanie na potrzeby służb ratowniczych i bezpieczeństwa zakresu częstotliwości 700 MHz jest również bardzo kontrowersyjne, ponieważ jak wiemy, Rosja przestaje powoli przestrzegać wszelkich umów międzynarodowych. W związku z tym, że wykorzystanie tej częstotliwości jest nadal nieuregulowane z Federacją Rosyjską, mniej więcej 1/3 obszaru Polski może być celowo zakłócone przez Rosję. Oznacza to, że infrastruktura nie będzie działać. Służby ratownicze i bezpieczeństwa powinny mieć pewną oraz niezawodną łączność, dlatego najlepszym rozwiązaniem byłoby dla wyłączenie całego działu trzeciego ustawy z dalszego procedowania. Korzyści z punktu widzenia bezpieczeństwa nie będzie tutaj żadnych, za to problemów wiele.

Czy procedowanie tej ustawy w czasie wojny w Ukrainie ma jakieś konkretne znaczenie?

Tak, ale wbrew pozorom negatywne. Czas, w którym rząd pracuje nad tą ustawą, nie jest najlepszy. A jej zapisy i planowane zmiany mogą oznaczać dla nas tylko kłopoty. Wdrożenie w życie obecnych zapisów ustawy to jest po prostu pokazanie ewentualnym wrogim państwom jak Rosja, że co prawda ze względu na rozproszenie i dywersyfikację świadczonych usług telekomunikacyjnych mieli oni trudności z ewentualnym zmasowanym atakiem cybernetycznym na nasze państwo, lecz w przyszłości po wejściu w życie ustawy wszystkie istotne i krytyczne instytucje państwowe będą obsługiwane przez jednego niewielkiego operatora, aby wrogowie Polski mieli ułatwione zadanie. To chyba wystarczająco mocny argument, by się zastanowić nad dalszym losem ustawy w takim kształcie.

Co mogłoby zwiększyć zatem bezpieczeństwo Polski w obszarze tworzenia prawa w tym zakresie?

Myśląc o bezpieczeństwie sieci telekomunikacyjnych w kraju, powinniśmy się bardziej skupić na takich elementach jak separacja, segmentacja i szyfrowanie. Powołanie operatora strategicznej sieci bezpieczeństwa, nie mówi kompletnie nic o żadnych zaawansowanych usługach dla służb, dla których mają być te usługi świadczone, czyli dla wojska, policji i służb ratowniczych, straży pożarnej itp. Zdefiniowane są tylko i wyłącznie w sposób ogólny powszechne usługi telekomunikacyjne, jak połączenia telefoniczne czy dostęp do sieci internet. Czy takie usługi musi świadczyć jakiś szczególny operator, skoro dostarczać je może każdy operator telekomunikacyjny w kraju? Chyba nie o to chodzi.

Osobiście w przeszłości dwukrotnie uczestniczyłem w pracach nad powołaniem tak zwanego krajowego operatora telekomunikacyjnego. W obu przypadkach głównym jego zadaniem miało być świadczenie usług łączności niejawnej, czyli zapewnienie szyfrowanej, kodowanej łączności pomiędzy najważniejszymi instytucjami państwowymi i przedsiębiorstwami z obszaru infrastruktury krytycznej w Polsce. Tymczasem w zapisach projektu ustawy o KSC zakłada się przejęcie powszechnych usług telekomunikacyjnych od innych operatorów. To jest bez sensu, dlatego, że dywersyfikacja tych usług zapewnia im właśnie pewność i niezawodność działania.

Nowelizacja ustawy o KSC – poprawiać zatem czy wyrzucić do kosza?

Powstaje zasadne pytanie, czy jeśli ta Ustawa o Krajowym Systemie Cyberbezpieczeństwa do tej pory nie została uchwalona, to czy jest sens uchwalać ją w obecnym kształcie dzisiaj. Z dużą dozą prawdopodobieństwa za 18-24 miesięcy będziemy ją musieli zmieniać.

Dlaczego?

W ustawie nie jest uwzględniona unijna dyrektywa NIS 2, która najprawdopodobniej jeszcze w tym roku zostanie przyjęta. Dotychczas obowiązywała dyrektywa NIS 1, która zobowiązywała państwa członkowskie do wprowadzenia w ustawodawstwie krajowym odpowiednich środków i mechanizmów dążących do zapewnienia bezpieczeństwa cyfrowego sieci i systemów informatycznych. Dawała jednak krajom członkowskim sporą dowolność. Mówiła tylko o pewnych procesach, rozwiązaniach, które należy wdrożyć, ale nie jak należy to zrobić. Natomiast dyrektywa NIS 2 definiuje to wszystko i ujednolica.

Ponieważ państwa Wspólnoty zobaczyły, że ścisłe współdziałanie, poprzez przestrzeganie tych samych procedur, standardów w ramach Unii Europejskiej będzie o wiele bardziej skuteczne, niż gdyby każdy to robiły według własnego pomysłu.

Poza tym katalog podmiotów objętych dyrektywą NIS2 znacznie się rozszerza. To już nie jest tylko sektor energetyczny, transportowy, bankowy czy finansowy i zdrowotny, ale włącza się do tego dostawców usług chmurowych, centrów danych, usług kontentowych, usług zaufania, publiczne sieci łączności, jednostki centralnej administracji rządowej i operatorów infrastruktury naziemnej. Dodatkowo uwzględnia się również takie podmioty, które do tej pory w ogóle nie były brane pod uwagę, jak zarządzające odpadami, produkujące chemikalia, żywność , mikroprzedsiębiorców, którzy świadczą usługi zaufania czy łączności i wiele innych. Widać więc, że ten katalog znacznie się rozszerza.

Mam wątpliwości czy powinniśmy dalej pracować nad projektem tej ustawy, skoro do kwietnia 2022 roku jej nie przyjęliśmy, to już w zasadzie nie ma sensu tego robić. Trzeba zacząć planować, jak tę ustawę dostosować do dyrektywy NIS 2, która lada moment zostanie przyjęta.